Décision rare. La CNIL a mis en demeure le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation pour le traitement APB ou Admission Post-Bac. Le gendarme des données personnelles y dévoile plusieurs défaillances – très lourdes – dans ce système de préinscription.
APB, créé en 2011, va devoir être sévèrement réformé après cette mise en demeure adressée par la Commission nationale informatique et des libertés. Saisie d’une plainte en novembre 2016, celle-ci s’est penchée sur les rouages de ce traitement, sous l’angle des dispositions de la loi de 1978.
Après notamment une mission de contrôle sur place à l’Institut national polytechnique de Toulouse, chargé de la maitrise d’œuvre d’APB, elle est revenue avec une brouette de critiques à l’encontre de ce traitement algorithmique, censé être un fleuron français.
Des algorithmes, pas d'intervention humaine (article 10)
L’article 10 de la loi de 1978 prévoit qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
Un examen humain doit donc toujours être organisé afin d’éviter une « algorithmocratie » ou dictature des machines. Or, la CNIL relève qu’avec APB, « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle ».
Et puisqu'on est bien ici en présence d’une décision produisant des effets juridiques où APB « détermine les formations post-baccalauréat auxquelles [les futurs étudiants] peuvent s’inscrire », la disposition est violée.
Manque d'information (article 32)
L’article 32-I de la même loi impose une obligation d’information des personnes auprès desquelles sont recueillies des données personnelles. Elles doivent par exemple connaître l’identité du responsable du traitement, le destinataire des données, etc.
Avec APB, note la mise en demeure de la CNIL, « les candidats sont amenés à fournir un nombre important de données à caractère personnel telles que leurs nom, prénom, date de naissance, pays de naissance, nationalité, situation de famille (marié, pacsé, nombre de personnes à charge), adresse, numéro de téléphone, noms et catégorie socio-professionnelle des responsables légaux, revenu brut global, nombre de frères et sœurs à charge de la famille, ou encore le nombre de frères et sœurs scolarisés dans l’enseignement supérieur ».
Souci : sur le formulaire de saisie, on ne connaît ni l’identité du responsable du traitement, ni la finalité poursuivie, ni les droits reconnus par la loi (accès, rectification, etc.) ni les destinataires (les établissements d’enseignement).
Pas de détails sur les rouages des algorithmes (article 39)
L’article 39 I. 5) du texte indique que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement en vue d’obtenir notamment « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».
Lorsque des candidats veulent connaître les raisons d’un refus d’affectation dans tel établissement, le ministère se contente de leur dire que les capacités d’accueil sont insuffisantes, outre de les informer des critères utilisés pour la sélection selon le Code de l’éducation.
Cependant, critique la CNIL, « aucune information relative à l’utilisation d’un algorithme et au fonctionnement de celui-ci pour procéder au classement et à l’affectation des personnes au sein des établissements de l’enseignement supérieur (notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification) n’est fournie aux candidats ».
Un beau témoignage d'opacité qui nous replonge dans la demande CADA visant le code source d'APB. Ces éléments avaient été produits par le ministère au format papier...
Pas de clause de sécurité chez le sous-traitant (article 35)
Si le ministère de l’Éducation nationale a confié les clefs du portail APB à l’Institut national polytechnique de Toulouse, le contrat signé « ne prévoit pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».
L’article 35 prévient notamment qu’un sous-traitant « doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». Le même oblige le contrat liant le sous-traitant au responsable du traitement à indiquer « les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données » tout en précisant « que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
Et maintenant ?
Cette mise en demeure a été notifiée fin août au ministère qui a trois mois pour corriger le tir. Spécialement, il devra « cesser de prendre des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé » et « en particulier, prévoir une intervention humaine permettant de tenir compte des observations des personnes ».
Hier, on apprenait via l’AFP que 3 729 bacheliers étaient sans affectation, alors que les candidats avaient jusqu’au 25 septembre pour postuler dans un établissement par APB.
Le 3 septembre dernier, la ministre de l’Enseignement supérieur Frédérique Vidal vantait les charmes d’APB au Journal du Dimanche : « Avant, c'était la règle du "premier arrivé, premier servi". Il n'est pas question d'en revenir là ! Une gestion informatisée est nécessaire ». Elle promettait néanmoins une refonte d’un « système à bout de souffle » qui aurait du mal à encaisser le surplus de 40 000 étudiants cette année.
De fait, ce système est peut-être à bout de souffle, mais il a surtout été sèchement épinglé par la CNIL quatre jours avant cette interview. On notera aussi que la diffusion de la mise en demeure a été faite le 28 septembre, alors que le terme d'APB était fixé trois jours plus tôt. Il n'est pas certain que les étudiants tombés dans l'estomac de cet algorithme sans intervention humaine apprécient un tel calendrier.
Commentaires (28)
Ça sent la V2.
Ça va être lourd d’introduire une intervention humaine pour tous ceux qui n’ont pas une des affectations demandées…
Mais quoi de plus normal que de prendre en compte les personnes ?
En tout cas, ça fait partie des fessées les plus magistrales infligées par la CNIL !
Et cela doit pouvoir ouvrir une voie de recours administratif à chaque décision qui ne conviendrait pas à l’intéressé.
La décision de la CNIL permet elle une voie de recours pour les candidats éconduits ?
Le vrai scandale est surtout qu’il n’y a pas assez de place à l’université.
Ensuite, concernant APB, au lieu de lui demander une réponse simple, il faut qu’il sorte le “raisonnement” qui a conduit à la décision (détail du scoring, rang de scoring, classement, etc…), et que celui-ci soit contestable en appel.
Créé en 2011, à bout de souffle en 2017? Le cahier des charges était pourri de base?
Qui avait pondu ce système et à quel prix?
Sur les quatre point remonté par la CNIL, deux sont juste de la forme (article 35 et 32). Un manquement sur une page et un manquement dans un contrat sur la confidentialité des informations (à vérifier si d’ailleurs la demande de confidentialité n’était pas implicite dans l’ensemble des documents du sous traitant).
Le deux autre point (article 10 et 39) sont surement les plus intéressant et les plus polémique. Car cela englobe une très large partie des services aujourd’hui utilisé.
Je suis d’ailleurs curieux de voir pourquoi la CNIL ne cible pas tout les système de notations qui existe par ailleurs avec l’article 39. L’algo des notations étant rarement décrit.
Et dire qu’il aurait suffi que le soft soit géré par Microsoft, dans le cadre de son accord avec l’EducNat, pour éviter ces erreurs sur la gestion des données personnelles…
" />
Ca dépend du domaine, de l’université du niveau d’études que tu vises.
Donc, oui, il y a plein de choses dans l’université qui n’amènent à presque aucune compétence valorisée par les entreprises. On devrait fortement filtrer les admissions dans ces branches là, elles ne sont pas totalement inutiles, mais les emplois étant peu nombreux, il ne faut pas laisser trop de monde y aller.
Il y en a d’autres qui sont irremplaçables.
Si l’on pousse un peu plus loin, pour ceux qui font une thèse, il y a des sujets de thèse qui valent de l’or pour les entreprises (ou labos de recherche) et d’autres qui ne valent pas un clou.
La fac donne une autonomie au moins sur un sujet : se jeter dans une voie sans issue ou dans un domaine avec des débouchés.
Moi le créé en 2011 m’étonne.
Peut-être qu’il manque juste un «dans sa forme actuelle», j’aimerais bien en savoir plus sur l’historique du programme
De mon temps, on avait R.A.V.E.L avec des pages minitel pourries et une ergonomie au schnapps mais ça faisait le job
" />
Voila de quoi dégrader davantage la réputation de ce système.
Je décrie souvent la CNIL, mais cette fois bravo.
Dommage que je ne connaisse personne qui puisse être intéressé par cet excellent article.
La loterie scolaire, un nouveau concept
" />
" />
Je vois arriver des solutions “à la con” du genre. On laisse quelques places de marge dans chaque établissement (pondéré en fonction des demandes habituelles) et tout les chieurs un peu litigieux qui demandent une étude spécifique de leur cas on les laisse entrer…
Je pensais être discret.
…catégorie socio-professionnelle des responsables légaux, revenu brut global…
Faudrait pas qu’un fils d’ouvrier se retrouve dans une formation réservée aux fils de notaire
oui et ça fait 40 ans qu’on dévalorise les filières techniques par rapport à la filière générale… il y a pas mal de métiers où on manque d’apprentis…
Je plussoie ! Je me souviens de m’être mangé des “quel gâchis” quand j’ai voulu aller de mon plein gré en seconde TSA (maintenant ISI) dans une lycée techno, simplement parce que c’est ce que je voulais faire. En seconde, c’était un mélange de gens comme moi, avec d’autres élèves qui étaient dans une situation parfaitement bien résumée par ma prof d’anglais de l’époque :
“Ah, tu fais partie de ceux qui ont été envoyés ici parce que tu es trop con pour la filière générale mais pas assez pour finir en BEP, alors qu’en fait vous avez plus de boulot qu’en générale”
D’ailleurs, et je ne sais pas si ça a toujours cours, mais les élèves de seconde générale qui voulaient faire la filière STI avaient un petit stage d’une semaine ou 2 pour les mettre à niveau…
Mais rendre le contrôle aux universités ne règlera pas ce problème. Mon expérience en IUT était même encore pire qu’au collège ou au lycée de ce point de vue, à savoir qu’en GTR (maintenant appelée R&T) il y avait une nette préférence pour les élèves avec un bac S (généralement option SVT) par rapport aux STI électronique. Résultat des courses : sur 80 élèves à la rentrée en première année, il n’en restait plus qu’une grosse quarantaine après les vacances de Noël, et une trentaine à la fin de la seconde année (dont 1 seul survivant de S-SVT). Bon, les S-SVT assuraient en maths, mais les STI-EL leur mettaient la pâtée en électronique et en physique.
de mon temps il fallait envoyé par la poste le dossier scolaire, au établissement voulu. puis nous recevions le resultat par la poste genre liste d’attente position 40 a 75 pour moi 
" />
" />. ca m’avais surpris.
" />
étonnamment une fois tous stabilisé fin juin j’etais pris partout
@loser : c’est pas plus mal, nous souffrons pas trop des crises et c’est plus facile de trouver du boulot.